輕量級雙協(xié)議棧組網(wǎng)下的安全增強方法及裝置的制造方法
【技術領域】
[0001] 本申請涉及DS-Lite (Dual Stack Lite����,輕量級雙協(xié)議棧)技術領域,尤其涉及 DS-Lite組網(wǎng)下的安全增強方法及裝置��。
【背景技術】
[0002] DS-Lite 技術綜合了 IPv4 over IPv6 隧道技術和 NAT (Network Address Translation����,網(wǎng)絡地址轉換)技術,利用隧道技術實現(xiàn)通過IPv6網(wǎng)絡連接隔離的IPv4網(wǎng) 絡�����,利用NAT技術實現(xiàn)不同的用戶網(wǎng)絡共享相同的IPv4地址空間����,減緩IPv4地址的耗盡速 度。
[0003] 圖1為DS-List典型組網(wǎng)示意圖�����,其中:
[0004] 在運營商局端部署AFTR(Address Family Transition Router����,地址族轉換路由 器),用戶側部署M (Basic Bridging Broadband�,基本橋接寬帶)設備,AFTR和M設備之 間使用IPv6地址進行通信�����;
[0005] AFTR上建立一個一對多的IPv4 over IPv6隧道���,B4設備上建立一對一的IPv4 over IPv6隧道�,這樣,一個AFTR可以同時連接多個M設備�����;
[0006] B4設備連接的Client (客戶端)使用私網(wǎng)IPv4地址����,不同的M設備下的Client 的IPv4地址可以重疊。
[0007] B4設備端手工指定DS-Lite隧道的源/目的IPv6地址�,AFTR端僅指定DS-Lite 隧道的源地址,不指定目的地址��。
[0008] 當M設備下的IPv4主機向公網(wǎng)的IPv4服務器發(fā)起IPv4請求時�,B4設備以隧道 源地址所引用的物理接口的IPv6地址作為封裝的源地址,以AFTR的IPv6地址作為封裝的 目的地址�,將封裝形成的IPv6報文發(fā)往IPv6網(wǎng)絡,最終到達AFTR����,AFTR對報文解封裝后, 對原始IPv4請求報文的源地址進行NAT處理����,然后將IPv4請求報文發(fā)給公網(wǎng)IPv4服務器�。
[0009] AFTR上的會話表項記錄了 IPv4請求報文的源/目的IPv4地址�、源/目的端口���、 協(xié)議號以及DS-Lite tunnel peer��,其中���,DS-Lite tunnel peer記錄了封裝報文的源、目的 IPv6地址�����。對于從公網(wǎng)返回需要發(fā)往M設備的IPv4響應報文���,根據(jù)所屬會話來確定NAT 轉換關系和DS-Lite tunnel地址(即用于封裝IPv6報文的源����、目的IPv6地址)����。
[0010] 現(xiàn)有的DS-Iite組網(wǎng)下的數(shù)據(jù)報文處理過程存在如下問題:
[0011] 由于AFTR依靠會話表項建立與隧道對端的對應關系,而AFTR建立隧道連接和創(chuàng) 建會話表項并無明確的安全性限制����,則攻擊者可能偽冒大量M設備向AFTR發(fā)起連接���,由于 隧道加、解封裝以及NAT處理都非常消耗資源��,AFTR很可能由于收到大量的虛假隧道報文 而停止對正常報文的處理����。
【發(fā)明內容】
[0012] 本申請實施例提供DS-Iite組網(wǎng)下的安全增強方法及裝置。
[0013] 本申請的技術方案是這樣實現(xiàn)的:
[0014] -種DS-Lite組網(wǎng)下的安全增強方法��,該方法包括:
[0015] AFTR接收DHCPv6服務器發(fā)來的第一通告報文���,將所述第一通告報文攜帶的 DHCPv6服務器為M設備分配的IPv6地址及租約時間保存在M設備地址列表中����;
[0016] AFTR從DS-Lite隧道接收IPv6報文����,將所述IPv6報文的源IPv6地址與M設備 地址列表中的IPv6地址進行匹配,若M設備地址列表中存在與所述源IPv6地址匹配的 IPv6地址��,則處理所述IPv6報文��,否則,丟棄所述IPv6報文��。
[0017] -種DS-Lite組網(wǎng)下的安全增強裝置���,位于AFTR上,該裝置包括:
[0018] 地址記錄模塊:接收DHCPv6服務器發(fā)來的第一通告報文���,將所述第一通告報文攜 帶的DHCPv6服務器為M設備分配的IPv6地址及租約時間保存在M設備地址列表中�;
[0019] 地址合法性判斷模塊:從DS-Lite隧道接收IPv6報文�,將所述IPv6報文的源IPv6 地址與M設備地址列表中的IPv6地址進行匹配,若M設備地址列表中存在與所述源IPv6 地址匹配的IPv6地址���,則處理所述IPv6報文��,否則����,丟棄所述IPv6報文���。
[0020] 可見�,本申請實施例中���,通過DHCP Server將分配的合法的M設備地址通告給 AFTR����,使得AFTR能夠識別出M設備地址是否合法,從而避免了非法設備冒充M設備對 AFTR的攻擊���,增強了 DS-Lite隧道連接的安全性�����。
【附圖說明】
[0021] 圖1為DS-List典型組網(wǎng)示意圖�����;
[0022] 圖2為本申請一實施例提供的DS-Iite組網(wǎng)下的安全增強方法流程圖��;
[0023] 圖3為本申請另一實施例提供的DS-Iite組網(wǎng)下的安全增強方法流程圖��;
[0024] 圖4為本申請應用示例的DS-Iite組網(wǎng)圖�;
[0025] 圖5為本申請實施例提供的DS-Iite組網(wǎng)下的安全增強裝置的組成示意圖��。
【具體實施方式】
[0026] 下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明�。
[0027] 圖2為本申請一實施例提供的DS-Lite組網(wǎng)下的安全增強方法流程圖,其具體步 驟如下:
[0028] 步驟201 :AFTR接收DHCPv6服務器發(fā)來的第一通告報文,將第一通告報文攜帶的 DHCPv6服務器為M設備分配的IPv6地址及租約時間保存在M設備地址列表中�����。
[0029] 步驟202 :AFTR從DS-Lite隧道接收IPv6報文�����,將該IPv6報文的源IPv6地址與 B4設備地址列表中的IPv6地址進行匹配���,若M設備地址列表中存在與該源IPv6地址匹配 的IPv6地址,則處理該IPv6報文���,否則����,丟棄該IPv6報文���。
[0030] -種實施例中�����,步驟201中���,在AFTR接收DHCPv6服務器發(fā)來的第一通告報文之 后��,進一步包括:
[0031] AFTR接收DHCPv6服務器發(fā)來的租約更新報文�,根據(jù)該租約更新報文攜帶的M設 備的IPv6地址����,在M設備地址列表中查找到對應的表項,根據(jù)該租約更新報文攜帶的租約 時間更新該表項中的租約時間����。
[0032] -種實施例中,步驟201中����,在AFTR接收DHCPv6服務器發(fā)來的第一通告報文之 后,進一步包括:
[0033] AFTR接收DHCPv6服務器發(fā)來的刪除報文�����,根據(jù)該刪除報文攜帶的M設備的IPv6 地址�,在M設備地址列表中查找到對應的表項,刪除該表項�����。
[0034] -種實施例中,步驟201中�����,在AFTR接收DHCPv6服務器發(fā)來的第一通告報文之 后�����,進一步包括:
[0035] AFTR重啟��,AFTR向DHCPv6服務器發(fā)送刷新請求報文�,以使該DHCPv6服務器在接 收到該刷新請求報文時,向AFTR發(fā)送第二通告報文����,該第二通告報文攜帶該DHCPv6服務器 已分配的����、且租約未到期的所有M設備的IPv6地址及剩余租約時間;AFTR接收該第二通 告報文����,將該第二通告報文攜帶的所有IPv6地址及剩余租約時間保存到M設備地址列表 中。
[0036] 圖3為本申請另一實施例提供的DS-Lite組網(wǎng)下的安全增強方法流程圖��,其具體 步驟如下:
[0037] 步驟300 :在IPv6組網(wǎng)中部署DHCPv6 Server,在M設備上配置并開啟DHCP Client功能��,在M設備上配置DHCPv6 Server的地址���,在DHCPv6 Server上配置并開啟向 AFTR通告M設備地址的功能���。
[0038] 在DHCPv6 Server上配置向AFTR通告M設備地址的功能時,AFTR可以AFTR的 IPv6地址表示�����,也可以AFTR的域名表示�����,例如:可配置如下:
[0039] DHCP update to XX��,其中��,XX 為 AFTR 的 IPv6 地址或者為 AFTR 的域名����。
[0040] 步驟301 :B4設備啟動后,根據(jù)自身配置的DHCPv6 Server的地址���,向DHCPv6 Server發(fā)送DHCP請求報文�����,以請求DHCPv6 Server為自身分配DS-Lite隧道的源接口所引 用的物理接口的IPv6地址以及AFTR的域名或IPv6地址���。
[0041] 步驟302 :DHCPv6 Server接收該DHCP請求報文�����,為M設備分配DS-Lite隧道的 源接口所引用的物理接口的IPv6地址以及AFTR的域名或IPv6地址���,并攜帶在DHCP響應 報文中返回給M設備;同時�����,DHCPv6 Server向AFTR發(fā)送第一通告報文����,該第一通告報文 攜帶M設備的DS-Lite隧道的源接口所引用的物理接口的IPv6地址以及該IPv6地址的 租約時間����。
[0042] 在實際應用中�����,可預先配置DHCPv6 Server的一個端口(設為第一端口)用于發(fā) 出第一通告報文����,同時在AFTR上與第一端口連接的第二端口上配置并開啟監(jiān)聽第一通告 報文的功能��。
[0043] 第一通告報文為IPv6 UDP (User Datagram Protocol��,用戶數(shù)據(jù)報協(xié)議)報文�,第 一通告報文的載荷采用TLV (Type-Length-Value,類型長度值)格式����,該TLV的格式如表1 所示:
[0045] 表 1
[0046] 其中,Type用于表示M設備地址的添加����、刪除或刷新,例如:
[0047] Type = 0,表示添加新的M設備地址�;
[0048] Type = 1,表示刪除M設備地址�����;
[0049] Type = 2,表示更新M設備地址的租約;
[0050] Type = 3,表示請求刷新M設備地址��。
[0051] 步驟303 :AFTR接收第一通告報文��,將第一通告報文中的DHCPv6 Server的地址以 及B4設備的DS-Lite隧道的源接口所引用的物理接口的IPv6地址和該IPv6地址的租約 時間添加到M設備地址列表中��。
[0052] 步驟304 :AFTR從DS-Lite隧道接收到IPv6報文���,若確認自身還不存在該IPv6報 文對應的會話表項��,則在自身記錄的M設備地址列表中查找該報文的源IPv6地址�����,若查找 到�����,則處理該IPv6報文����;否則�,丟棄該IPv6報文�。
[0053] AFTR處理該IPv6報文具體包括:對該IPv6報文進行隧道解封裝���、NAT處理等常規(guī) 處理。
[0054] 另外�����,當M設備地址的租約更新時�,DHCPv6 Server向AFTR發(fā)送租約更新報文 (Type = 2),該租約更新報文攜帶M設備地址和新的租約時間�����,AFTR收到該租約更新報文 后��,根據(jù)該M設備地址�����,在M設備地址列表中查找到對應的表項�,更新該表項中的租約時 間。
[0055] 當DHCPv6 Server要收回M設備地址時�����,DHCPv6 Server向AFTR發(fā)送刪除報文 (Type = 1)��,該刪除報文攜帶該B4設備地址,AFTR收到該刪除報文后��,在B4設備地址列表 中查找到對應的表項���,刪除該表項��。
[0056] 當AFTR重啟后�����,主動向DHCPv6 Server發(fā)送刷新請求報文(Type = 3)��,DHCv6 Server收到該刷新請求報文�,將自身已分配的����、且租約未到期的所有M設備地址及剩余租 約時間一次性攜帶在第二通告報文中發(fā)送給AFTR ;AFTR接收第二通告報文,將第二通告報 文攜帶的所有IPv6地址及剩余租約時間保存到M設備地址列表中��。
[0057] 若DHCPv6 Server發(fā)生了重啟���,導致自身原有的M設備地址表項都不存在時���, DHCPv6 Server不通知A